Вирус в бинарнике nginx

wastemaster nginx-forum at nginx.us
Tue Dec 3 14:56:20 UTC 2013


os: Linux version 2.6.32-042stab021.1 (root at rh6-build-x64) (gcc version
4.4.4 20100726 (Red Hat 4.4.4-13) (GCC) ) #1 SMP Thu Jul 14 18:02:30 MSD
2011
nginx: 1.4.4-1~squeeze               

комплектность: 
root at server:/var/cache/apt/archives# nginx -V
nginx version: nginx/1.4.4
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx
--conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log
--http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid
--lock-path=/var/run/nginx.lock
--http-client-body-temp-path=/var/cache/nginx/client_temp
--http-proxy-temp-path=/var/cache/nginx/proxy_temp
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp
--http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx
--with-http_ssl_module --with-http_realip_module --with-http_addition_module
--with-http_sub_module --with-http_dav_module --with-http_flv_module
--with-http_mp4_module --with-http_gunzip_module
--with-http_gzip_static_module --with-http_random_index_module
--with-http_secure_link_module --with-http_stub_status_module --with-mail
--with-mail_ssl_module --with-file-aio --with-cc-opt='-g -O2
-Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt=-Wl,--as-needed --with-ipv6


nginx генерит перенаправления выборочно некоторых посетителей.
в логах эти редиректы не отражаются. 
в целом ситуация очень похожа на описанную товарищами из eset
http://habrahabr.ru/company/eset/blog/179115/

конечно есть еще вариант, что дело в наших скриптах, но мы их все проверили
а потом и вовсе исключили этот вариант, когда увидели редирект с урла со
статикой - те вместо того, чтобы отдать статический контент  - nginx генерит
302 редирект.

с той разницей, что тулзами приведенными в той статье проблема не
детектируется.

все что смогли придумать - это снести всю операционнку. И вот пока ждем
замену по хостингу хочется выяснить все-таки как это безобразие к нам
проникло.

Сейчас активность вируса можно только фильтруюя трафик на интерфейсе через
tcpdump на предмет 302 редиректов. 
Фильтруем в реальном времени - как только видим редирект - останавливаем
nginx и переустанавливаем - запускаем заного.

После этого проблема с редиректом пропадает на несколько часов, потом опять
появляются редиректы уже на другой домен.

nginx ставим отсюда

deb http://nginx.org/packages/debian/ squeeze nginx
deb-src http://nginx.org/packages/debian/ squeeze nginx

apt-get install --reinstall nginx

Проверяли в /var/cache/apt/archives  лежит оригинальный пакет  nginx
чексумма совпадает, чексумма по бинарнику на диске тоже совпадает с
оригинальной.

Те либо вражеская штука его перезапускает, либо видоизменяет прямо в памяти
(если конечно такое возможно)

наружу у нас торчит mysql, postgres, nginx и все(
Вариант с подбором пароля - маловерятный - пароли серьезные, в логах
посторонней активности не замечено.

Буду рад любым советам - может кто сталкивался. Как можно отсечь этой штуке
пути отступления?

Posted at Nginx Forum: http://forum.nginx.org/read.php?21,245164,245164#msg-245164



Подробная информация о списке рассылки nginx-ru